image

UPnP in routers laat aanvaller firewall aanpassen

dinsdag 1 september 2015, 12:20 door Redactie, 6 reacties

Het Universal Plug and Play (UPnP) protocol moet het eenvoudiger voor apparaten maken om met elkaar te communiceren en verbinding te maken, maar een onbekend aantal routers heeft de beveiliging niet goed geregeld, waardoor een aanvaller stilletjes poorten in de firewall kan openzetten of toegang tot de router kan krijgen.

Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het UPnP-protocol was oorspronkelijk ontwikkeld voor privénetwerken en gebruikt standaard dan ook geen authenticatie. Later werd er besloten om toch een UPnP-beveiligingsstandaard op te stellen, maar ondersteuning hiervan is zeer beperkt. Vanwege de ontbrekende beveiliging kan een aanvaller met toegang tot het privénetwerk via UPnP toegang tot de router krijgen om vervolgens poorten open te zetten of diensten in te schakelen waarmee het netwerk verder kan worden aangevallen.

Hoewel de UPnP-problemen waarvoor het CERT/CC waarschuwt alleen via privénetwerken kunnen worden aangevallen, is het ook mogelijk om vanaf het internet hier toegang toe te krijgen. Via een speciale website kan een aanvaller, bij gebruikers van Chrome en Firefox die JavaScript hebben ingeschakeld, namelijk willekeurige UPnP-verzoeken naar de firewall sturen en zo het netwerk verder aanvallen. De "Filet-O-Firewall" kwetsbaarheid werd begin augustus al gedemonstreerd, maar nu heeft het CERT/CC besloten er een waarschuwing voor af te geven.

Als oplossing krijgen gebruikers het advies om geen onbekende links te openen, UPnP uit te schakelen, de laatste UPnP-standaarden te implementeren of de UPnP controle-URL willekeuriger te maken, zodat die niet door een aanvaller kan worden geraden. Welke modellen en fabrikanten kwetsbaar zijn is onbekend, maar volgens de ontdekker van het probleem gaat het om een "leverancier onafhankelijke kwetsbaarheid".

Image

Reacties (6)
01-09-2015, 13:14 door Anoniem
Je kunt welke code dan ook maar op welk apparaat dan ook maar executeren. Zolang deze de upnp buffer overflow hebben, en je de target SOC weet en een werkende shellcode hebt. Upnp beter gewoon standaard uitzetten. Dan maar "een" (eigenlijk twee) feature(s) minder ;)
01-09-2015, 13:24 door Anoniem
Test UPnP in de router hier:

http://upnp-check.rapid7.com/
01-09-2015, 13:26 door Anoniem
En als je beseft dat het WPA wachtwoord eenvoudig te kraken is, en daarmee toegang tot de netwerken, dan is het probleem nog veel groter dan je zou denken.
01-09-2015, 13:52 door Anoniem
Als oplossing krijgen gebruikers het advies om geen onbekende links te openen...

Gebruikers de verantwoordelijkheid voor het al dan niet klikken op links is *geen* oplossing. Het is de schuld afschuiven op de gebruiker. Correcte sandboxing is de oplossing. Elke parser zijn eigen sandbox!
01-09-2015, 16:16 door Anoniem
Ik mis het advies om in aanvulling op "uPnP uitzetten" sterke wachtwoorden te gebruiken voor admin toegang op routers en firewalls, en daarbij ook remote admin (via internet) uit te schakelen indien mogelijk.
Anders zet een hacker uPnP immers zo weer "aan".
01-09-2015, 18:36 door [Account Verwijderd]
Ik kan me nog zulke waarschuwingen herinneren sinds ergens 2006 (of eerder zelfs.)
Op zich is uPnP redelijk handig in gebruik, zolang die op de router uitstaat.
Maar dat bijvoorbeeld media devices (DLNA) dan wel weer met elkaar kunnen communiceren is een stuk beter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.